Cómo usar Windows LAPS para administrar contraseñas de administrador local
Si alguna vez has lidiado con el caos de las contraseñas compartidas de administrador local o has tenido una máquina con una contraseña tan antigua que es prácticamente una reliquia, entonces Windows LAPS podría ser tu nuevo mejor aliado. Automatiza la administración de contraseñas, las almacena de forma segura en AD y las actualiza periódicamente (porque, claro, Windows tiene que complicarlo más de lo necesario).Esta guía explica en detalle cómo configurarlo correctamente, especialmente ahora que Microsoft ha integrado soporte nativo en las actualizaciones recientes de Windows. Se acabaron las complicaciones con instaladores MSI, solo actualizaciones y configuraciones. Pero no te desesperes; aún tienes que configurarlo, especialmente en tus controladores de dominio y directivas de grupo.
Básicamente, una vez configurado, LAPS rotará las contraseñas locales cada 30 días o según lo indique la configuración de su GPO, y solo las personas autorizadas podrán verlas. Resulta muy práctico si administra una flota de equipos y no quiere lidiar con los típicos restablecimientos de contraseñas ni con credenciales obsoletas que aparecen en las capturas de pantalla. Es una buena manera de optimizar las cosas sin tener que pasar por demasiados obstáculos. Ahora, veamos los pasos para ponerlo en marcha.
Cómo reparar o habilitar el LAPS integrado en Windows 10/11
Compruebe si su versión de Windows es compatible con LAPS nativo
Antes de intentar nada, asegúrate de que tu Windows tenga las últimas actualizaciones. Necesitas al menos Windows 11 22H2 (KB5025239) o Windows 10 22H2 (KB5025221).Si tienes una versión anterior, el soporte nativo aún no está disponible, y tendrás que seguir usando el paquete MSI antiguo, lo cual, sinceramente, fue un fastidio. En una configuración funcionó perfectamente después de la actualización, pero en otra, fue necesario reiniciar un par de veces. Es raro, pero bueno, las actualizaciones de Windows pueden ser un poco peculiares.
Actualice su Windows y borre las configuraciones antiguas de LAPS
- Primero, vaya a Configuración > Actualización de Windows y obtenga todos los parches más recientes.
- Asegúrese de que todos los controladores de dominio estén actualizados, ya que alojan las extensiones de esquema.
- En Active Directory, verifique que todos los controladores de dominio tengan las extensiones de esquema más recientes. Use PowerShell para ejecutar
Update-LapsADSchema. Si se generan errores sobre «errores locales», significa que algunos controladores de dominio aún no están listos. - Elimine cualquier componente LAPS heredado (instaladores MSI antiguos o GPO heredados).Revise las claves de registro
HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Statey elimínelas si encuentra entradas heredadas. Esto evita conflictos y los molestos errores de ID de evento 10033 o 10031 en el Visor de eventos.
Instalar o verificar las funciones nativas de LAPS
Si sus actualizaciones son recientes, debería ver los nuevos archivos ADMX para LAPS en %systemroot%\PolicyDefinitions. Copie laps.admx a su almacén central si administra GPO desde un repositorio compartido: Network GPO Store Location. Confirme que las nuevas opciones de GPO (como habilitar el cifrado de contraseñas y la copia de seguridad) estén disponibles en gpmc.msc.
Configurar GPO para LAPS y establecer sus preferencias
- Cree un nuevo GPO y vincúlelo a la OU con sus computadoras de destino.
- Vaya a Configuración del equipo > Políticas > Plantillas administrativas > Sistema > LAPS.
- Habilite políticas como Configurar directorio de respaldo de contraseñas (establecido en Active Directory ) y configure la complejidad, longitud y frecuencia de cambio de la contraseña (el valor predeterminado es 14 caracteres, 30 días).
- Cree o especifique el nombre de la cuenta de administrador local; el valor predeterminado es “Administrador”.
- Guarde y cierre, luego reinicie o ejecute gpupdate /forcepara enviar la configuración inmediatamente.
Asignar permisos y establecer controles de acceso
De forma predeterminada, los administradores de dominio pueden ver las contraseñas, pero probablemente quieras limitar este uso. Usa comandos de PowerShell como:
Set-LapsADComputerSelfPermission -Identity "OU=Computers, OU=MUN, OU=DE, DC=woshub, DC=com"
Y cree un grupo de seguridad (por ejemplo, MUN-LAPS-Admins ) para asignar permisos de lectura o restablecimiento:
New-ADGroup MUN-LAPS-Admins -path 'OU=Groups, OU=MUN, OU=DE, DC=woshub, DC=com' -GroupScope local -PassThru –Verbose Add-AdGroupMember -Identity MUN-LAPS-Admins -Members a.morgan, b.krauz $ComputerOU = "OU=Computers, OU=MUN, OU=DE, DC=woshub, DC=com" Set-LapsADReadPasswordPermission –Identity $ComputerOU –AllowedPrincipals MUN-LAPS-Admins Set-LapsADResetPasswordPermission -Identity $ComputerOU -AllowedPrincipals MUN-LAPS-Admins
De esta forma, solo ciertas personas pueden ver o restablecer contraseñas, lo que mantiene el acceso restringido. Recuerde siempre que, por defecto, todos los administradores de dominio tienen acceso, pero conviene restringir los permisos.
Extraer o rotar contraseñas a pedido
Una vez configurado todo, puedes consultar las contraseñas actuales mediante PowerShell. Usa:
Get-LapsADPassword ComputerName -AsPlainText
Ejemplo: Get-LapsADPassword mun-pc221 -AsPlainText. Mostrará la contraseña actual, sorprendentemente sencillo. Si desea rotar la contraseña inmediatamente, ejecute:
Reset-LapsPassword
Esto inicia un cambio de contraseña instantáneo, y la nueva contraseña se almacena de forma segura en AD. En algunas máquinas, podría ser necesario reiniciar o al menos actualizar la GPU para que los cambios surtan efecto. Y sí, es así de simple: sin complicaciones.
Resumen
Conseguir que funcione el LAPS nativo de Windows no es tan complicado como parece una vez instaladas las actualizaciones. Simplemente limpie la configuración anterior, verifique las actualizaciones del esquema, configure las GPO correctamente y establezca los permisos, y listo. Lo mejor es que la rotación de contraseñas se vuelve prácticamente automática y puede extraerlas fácilmente con PowerShell. Por supuesto, no olvide revisar regularmente los registros de eventos para detectar errores relacionados con el LAPS, especialmente si utiliza configuraciones antiguas.
Resumen
- Asegúrese de que Windows esté completamente actualizado con los últimos parches.
- Elimine los componentes LAPS heredados, especialmente los GPO y las entradas de registro antiguos.
- Instalar o verificar las funciones nativas de LAPS a partir de las definiciones de políticas.
- Configure GPO para administrar la rotación de contraseñas, la complejidad y las ubicaciones de las copias de seguridad.
- Establezca los permisos con cuidado, restringiendo quién puede ver o restablecer las contraseñas.
- Utilice comandos de PowerShell para obtener o rotar contraseñas a pedido.
- Consulte los registros de eventos para detectar problemas o advertencias.
Reflexiones finales
La compatibilidad nativa con Windows simplifica la gestión de contraseñas de administrador local, pero aún requiere cierta configuración. Una vez configurado, supone un gran avance en seguridad respecto a las antiguas notas adhesivas y contraseñas compartidas. Ojalá esto ayude a evitar la clásica confusión de contraseñas o las interminables solicitudes de restablecimiento, al menos por ahora.